Приходната агенция пренебрегнала сигурността на данните заради онлайн услугите
Националната организация за приходите (НАП) е основала условия за случилото се източване на данни от базите им, приоритизирайки стратегически функционалностите за електронно обслужване на жителите за сметка на отбрана на персоналните им данни. Това съобщи ръководителят на Комисията за отбрана на персоналните данни (КЗЛД) Венцислав Караджов пред депутатите от краткотрайната анкетна комисия, която би трябвало да откри обстоятелствата към източването на данни от Национална агенция за приходите.
Караджов изясни, че е направена цялостна инспекция на админа и са открити пропуски преди хакерската офанзива, само че и съответна реакция по-късно. В приходната организация не е било задоволително ясно написано по какъв начин се прави обменът на информация сред обособените консуматори в системата. Системата е била дебалансирана като тежестта е била изместена в интерес на електронните услуги за потребителите за сметка на отбраната.
Операционната система на Национална агенция за приходите е от 2008 година, " кърпили " я с ъпдейти
Вътрешните правила са прекомерно общи и няма създадени правила за обработка на данните. Било е допустимо елементарно да се пробие отбраната въз основата данни. Нарушен е главният принцип на отчетност – няма информация кой консуматор влиза в системата, какво прави в нея и с какви данни борави, изясни Караджов.
Освен това не е имало внедрена система за ръководство и разбор на събитията, с цел да се наблюдават в действително време сигналите за сигурност. Това пък е разрешило да не се подава информация когато хакрът е влезнал дали е теглил малко или доста информация, каква и от кои бази данни, изясни още ръководителят на комисията пред депутатите. Липсва методика за ръководство на риска – идентификация на заканите и на самия риск, както и следваща периодическа оценка на този риск. При инспекцията от Национална агенция за приходите не са дали доказателства да са правили разбор на риска.
" Липсват документирани правила и процедури за оценка на въздействието при пускане на нови осведомителни системи и приложения. Липсват процедури за ръководство на риска при смяна на към този момент съществуващи електронни услуги или при въвеждане на нови такива. Операционната система сега е от 2008 година Срокът на поддръжката й в международен мащаб изтича през януари 2020 година Трябвало е доста по-рано да се обмисли по какъв начин тази система да бъде предпазена ", съобщи още Караджов. По думите му, всеки спомагателен ъпдейт на системата в допълнение излагал на риск сигурността.
Сред пропуските той уточни, че няма успореден сървър, който " да може да вдигне системата " и тя да проработи при възможен срив. Установено е, че има бекъп сървър, само че това, съгласно отчета на комисията, не взема решение казуса.
" Липсват политики за наново потребление на данните, за заличаване или архивиране на данните, които се употребяват еднократно и няма правила за това. По този метод може да се добие извънредно доста информация ", добави Караджов и акцентира, че от две години от комисията предлагат да се организира от време на време образование на чиновниците, които боравят с персонални данни.
Всички констатации на комисията са систематизирани в отчет от над 20 страници, който през днешния ден бе показан пред депутатите от анкетната комисия.
Според Румен Гечев над 60% от чиновниците били " калинки "
В отдела, който работи за запазване на персоналните данни в Национална агенция за приходите, 60% от чиновниците са " калинки ". " Там работят експерт по спортна пукотевица, по технология на металите, по механика и физика, по аграрикономика, технолоия на хранително-вкусовата индустрия, по транспортна енергетика, по картография, околна среда и водите и други ". Констатацията направи Румен Гечев от Българска социалистическа партия, който е зам.-председател на анкетната комисия.
Венцислав Караджов изясни, че при инспекцията подчинените му не са се сблъскали с непросветеност и добави, че комисията няма пълномощия да търси лична отговорност на чиновниците, които работят в приходната организация.
" Не сме констатирли липса на подготвеност от страна на тези чиновници. Предоставили сме им въпросници, от които можем да съдим, че имат положителни знания върху това по какъв начин работи системата и какви проблеми има в нея. Голяма част от проблемите са били установени от самите чиновници на Национална агенция за приходите през последните 5 години ", изясни Караджов.
Той изясни, че няма условие за учебен ценз при култивиране на персонални данни и уточни, че всеки чиновник би трябвало да бъде обучаван. Караджов уточни, че комисията от дълго време е предложила да се сътвори обучителен център, защото сходни проблеми към този момент се виждат както в частния, по този начин и в обществения бранш.
© Георги Кожухаров
На идващото съвещание депутатите от анкетната комисия взеха решение да поканят уволнените чиновници на Национална агенция за приходите, които са отговаряли за осведомителните технологии.
В отговор на въпроси от комисията обясниха, че вършат инспекции, само че те са секторни – в опазването на здравето, образованието, компаниите за бързи заеми, телекомуникационните оператори.
" Тези инспекции се вършат въз основа на сигнали, подадени до комисията. За Национална агенция за приходите нямаше такива индикации, нито пък подадени огромен брой тъжби и сигнали, с цел да се наложи да създадем цялостна инспекция. А и нашият проверяващ екип е от към 15 души ", акцентира Караджов.
" Проблемът на Национална агенция за приходите е, че направиха по този начин, че да не си губиш времето, да не чакаш по опашки, а да можеш да използваш електронни услуги. Отвориха системите по този начин, че да са оптимално налични. Този проблем съществува и в други институции. Дори уеб сайтът на Народното събрание беше нападнат ", разяснява Емил Димитров и акцентира, че всички ограничения, които би трябвало да се вземат, костват доста.
В края на съвещанието бе решено идващия път да бъдат поканени двамата уволнени чиновници по осведомителни технологии, както и представители на Държавната организация по електронно ръководство и чиновници на Национална агенция за приходите.
Миналата седмица КЗЛД разгласи, че ще санкции данъчната администрация с 5,1 млн. лева поради източените персонални данни на над 6 млн. души.
Дни откакто избухна абсурдът, изпълнителният шеф на Националната организация за приходите Галя Димитрова уволни ръководителите на звената за осведомителните системи и за осведомителна сигурност на приходната администрация. Самата тя тогава съобщи, че няма желание да подава оставка.Всичко по тематиката за източените персонални данни от приходната организация, обвиняванията против чиновници в " ТАД Груп " и следствието - тук.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (145)
Караджов изясни, че е направена цялостна инспекция на админа и са открити пропуски преди хакерската офанзива, само че и съответна реакция по-късно. В приходната организация не е било задоволително ясно написано по какъв начин се прави обменът на информация сред обособените консуматори в системата. Системата е била дебалансирана като тежестта е била изместена в интерес на електронните услуги за потребителите за сметка на отбраната.
Операционната система на Национална агенция за приходите е от 2008 година, " кърпили " я с ъпдейти
Вътрешните правила са прекомерно общи и няма създадени правила за обработка на данните. Било е допустимо елементарно да се пробие отбраната въз основата данни. Нарушен е главният принцип на отчетност – няма информация кой консуматор влиза в системата, какво прави в нея и с какви данни борави, изясни Караджов.
Освен това не е имало внедрена система за ръководство и разбор на събитията, с цел да се наблюдават в действително време сигналите за сигурност. Това пък е разрешило да не се подава информация когато хакрът е влезнал дали е теглил малко или доста информация, каква и от кои бази данни, изясни още ръководителят на комисията пред депутатите. Липсва методика за ръководство на риска – идентификация на заканите и на самия риск, както и следваща периодическа оценка на този риск. При инспекцията от Национална агенция за приходите не са дали доказателства да са правили разбор на риска.
" Липсват документирани правила и процедури за оценка на въздействието при пускане на нови осведомителни системи и приложения. Липсват процедури за ръководство на риска при смяна на към този момент съществуващи електронни услуги или при въвеждане на нови такива. Операционната система сега е от 2008 година Срокът на поддръжката й в международен мащаб изтича през януари 2020 година Трябвало е доста по-рано да се обмисли по какъв начин тази система да бъде предпазена ", съобщи още Караджов. По думите му, всеки спомагателен ъпдейт на системата в допълнение излагал на риск сигурността.
Сред пропуските той уточни, че няма успореден сървър, който " да може да вдигне системата " и тя да проработи при възможен срив. Установено е, че има бекъп сървър, само че това, съгласно отчета на комисията, не взема решение казуса.
" Липсват политики за наново потребление на данните, за заличаване или архивиране на данните, които се употребяват еднократно и няма правила за това. По този метод може да се добие извънредно доста информация ", добави Караджов и акцентира, че от две години от комисията предлагат да се организира от време на време образование на чиновниците, които боравят с персонални данни.
Всички констатации на комисията са систематизирани в отчет от над 20 страници, който през днешния ден бе показан пред депутатите от анкетната комисия.
Според Румен Гечев над 60% от чиновниците били " калинки "
В отдела, който работи за запазване на персоналните данни в Национална агенция за приходите, 60% от чиновниците са " калинки ". " Там работят експерт по спортна пукотевица, по технология на металите, по механика и физика, по аграрикономика, технолоия на хранително-вкусовата индустрия, по транспортна енергетика, по картография, околна среда и водите и други ". Констатацията направи Румен Гечев от Българска социалистическа партия, който е зам.-председател на анкетната комисия.
Венцислав Караджов изясни, че при инспекцията подчинените му не са се сблъскали с непросветеност и добави, че комисията няма пълномощия да търси лична отговорност на чиновниците, които работят в приходната организация.
" Не сме констатирли липса на подготвеност от страна на тези чиновници. Предоставили сме им въпросници, от които можем да съдим, че имат положителни знания върху това по какъв начин работи системата и какви проблеми има в нея. Голяма част от проблемите са били установени от самите чиновници на Национална агенция за приходите през последните 5 години ", изясни Караджов.
Той изясни, че няма условие за учебен ценз при култивиране на персонални данни и уточни, че всеки чиновник би трябвало да бъде обучаван. Караджов уточни, че комисията от дълго време е предложила да се сътвори обучителен център, защото сходни проблеми към този момент се виждат както в частния, по този начин и в обществения бранш.
© Георги Кожухаров
На идващото съвещание депутатите от анкетната комисия взеха решение да поканят уволнените чиновници на Национална агенция за приходите, които са отговаряли за осведомителните технологии.
В отговор на въпроси от комисията обясниха, че вършат инспекции, само че те са секторни – в опазването на здравето, образованието, компаниите за бързи заеми, телекомуникационните оператори.
" Тези инспекции се вършат въз основа на сигнали, подадени до комисията. За Национална агенция за приходите нямаше такива индикации, нито пък подадени огромен брой тъжби и сигнали, с цел да се наложи да създадем цялостна инспекция. А и нашият проверяващ екип е от към 15 души ", акцентира Караджов.
" Проблемът на Национална агенция за приходите е, че направиха по този начин, че да не си губиш времето, да не чакаш по опашки, а да можеш да използваш електронни услуги. Отвориха системите по този начин, че да са оптимално налични. Този проблем съществува и в други институции. Дори уеб сайтът на Народното събрание беше нападнат ", разяснява Емил Димитров и акцентира, че всички ограничения, които би трябвало да се вземат, костват доста.
В края на съвещанието бе решено идващия път да бъдат поканени двамата уволнени чиновници по осведомителни технологии, както и представители на Държавната организация по електронно ръководство и чиновници на Национална агенция за приходите.
Миналата седмица КЗЛД разгласи, че ще санкции данъчната администрация с 5,1 млн. лева поради източените персонални данни на над 6 млн. души.
Дни откакто избухна абсурдът, изпълнителният шеф на Националната организация за приходите Галя Димитрова уволни ръководителите на звената за осведомителните системи и за осведомителна сигурност на приходната администрация. Самата тя тогава съобщи, че няма желание да подава оставка.Всичко по тематиката за източените персонални данни от приходната организация, обвиняванията против чиновници в " ТАД Груп " и следствието - тук.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (145)
Източник: dnevnik.bg
КОМЕНТАРИ